Es ist bereits das zweite Mal innerhalb weniger Wochen. Diesmal beglaubigt Apple versehentlich gefälschte Flash-Installer, die Adware einschleusen. Das Unternehmen sperrt die Zertifikate der verantwortlichen Entwickler noch bevor Forscher Apple auf das Problem hinweisen können.

Malware-Autoren ist es schon zum zweiten Mal in diesem Jahr gelungen, schädliche Apps durch Apples Kontrollverfahren für macOS zu schleusen. Sie tricksen die sogenannte App Notarization aus, eine Sicherheitsfunktion, die das Unternehmen Anfang des Jahres eingeführt hat.

Entwickler reichen ihre Apps bei Apple ein, um sie im Rahmen der Notarization eine Reihe von automatisierten Sicherheitstests durchlaufen zu lassen. Sie sollen eigentlich Schadsoftware oder auch nur einzelne schädliche Funktionen einer Anwendung erkennen. Apps, die die Tests bestehen, gelten als „notarized“ und damit als offiziell von Apple beglaubigt.

Mit diesem Status gelangen die Apps auf eine Whitelist für Apps Sicherheitsscanner Gatekeeper. Dort gelistete Apps lassen sich ohne Sicherheitswarnung öffnen und installieren. Für Apps, die unter macOS Catalina und BigSur ausgeführt werden, ist die Notarization zwingend vorgeschrieben. Entwickler begrüßten die Einführung der Funktion, da sie für Nutzer die Installation von Anwendungen vereinfacht.

Von der Funktionsweise her ist das Sicherheitsfeature mit Googles Sicherheitssystem Bouncer vergleichbar, das Android-Apps für den Google Play Store untersucht: Beide Systeme können keinen hundertprozentigen Schutz bieten. Erstmals wurden Ende August schädliche Apps für macOS entdeckt, die zuvor die Notarization erfolgreich durchlaufen hatten. Insgesamt 40 Anwendungen enthielten den Trojaner Shlayer und die Adware BundleCore.

In der vergangenen Woche meldete nun Joshua Long, Chief Security Analyst des Mac-Sicherheitsanbieters Intego den Fund von sechs von Apple beglaubigten Anwendungen, die sich als Installer für Adobe Flash ausgaben. Statt des Flash Players beinhalteten sie jedoch die Adware OSX/MacOffers, die die Einstellungen für die Suchmaschinen im Browser eines Opfers manipuliert.

„Noch bevor wir die Apps an Apple melden konnten hat Apple die Entwickler-Zertifikate zurückgezogen“, sagte Long im Gespräch mit ZDNet.com. „Unklar ist, wie Apple darauf aufmerksam wurde. Vielleicht erhielten sie einen Bericht von einem anderen Forscher, der die Malware untersucht hat, oder von einem Mac-Nutzer, der auf die Malware gestoßen ist.“

Adobe hat das Ende des Flash Players bereits vor Monaten für Ende des Jahres angekündigt. Long forderte Nutzer deswegen auf, keine Flash-Installer mehr herunterzuladen und zu installieren.

Quelle: Schädliche Apps tricksen macOS-Sicherheitsfunktion Gatekeeper aus | ZDNet.de